A Kaspersky Lab identificou pelo menos três grupos dentro do Gaza Cybergang, com objectivos e metas semelhantes – ciberespionagem relacionada com interesses políticos no Médio Oriente – mas com ferramentas, técnicas e níveis de sofisticação muito diferentes.
Além dos Desert Falcons e Operation Parliament, conhecidos desde 2015 e 2018, respectivamente, o Cybergang de Gaza inclui ainda um grupo menos complexo, subjacente, conhecido como MoleRats, que tem estado activo pelo menos desde 2012. Na Primavera de 2018, este grupo lançou a operação SneakyPastes.
O SneakyPastes começou com ataques de phishing sobre temas políticos, usando endereços e domínios de email falsos. Os links ou anexos maliciosos abertos ou descarregados, infectavam assim o dispositivo da vítima.
Com o objectivo de evitar a detecção e esconder a localização do servidor de comando e controlo, foi feito o download de malware adicional para os dispositivos das vítimas em etapas sucessivas utilizando websites como o Pastebin e o Github. Os diferentes implantes maliciosos usaram PowerShell, VBS, JS e dotnet para garantir resiliência e persistência nos sistemas infectados.
A etapa final da invasão foi um trojan de acesso remoto, que fez contacto com o servidor de comando e controlo e, de seguida, reuniu, compactou, encriptou e carregou uma grande variedade de documentos e folhas de cálculo roubadas. O nome SneakyPastes aparece através do uso de websites por parte dos hackers para gradualmente infiltrarem o RAT nos sistemas das vítimas.
Os investigadores da Kaspersky Lab trabalharam com as autoridades policiais para descobrir o ciclo completo do ataque e invasão da operação SneakyPastes. Estes esforços não resultaram apenas no conhecimento detalhado das ferramentas, técnicas e metas, mas no desmantelamento de uma parte significativa da infraestrutura do ataque.
A operação SneakyPastes esteve mais activa entre Abril e meados de Novembro de 2018, concentrando-se numa pequena lista de alvos que compreendiam entidades diplomáticas e governamentais, ONGs e meios de comunicação.
Usando a telemetria da Kaspersky Lab e outras fontes, parece haver cerca de 240 vítimas com um papel de relevo na sociedade, a maioria localizada nos territórios palestinianos, na Jordânia, em Israel e no Líbano.
“Prevemos que os danos causados pelos três grupos do Gaza Cybergang se intensifiquem e que os ataques se estendam a outras regiões”, afirmou Amin Hasbini, Chefe do Centro de Investigação do Médio Oriente, Equipa Global de Investigação e Análise (GReAT) da Kaspersky Lab.
Via: Kaspersky Lab.